Anthropic의 Claude Code가 147개 중국 도메인과 AI 연구소에 연계된 사용자를 식별하기 위해 숨겨진 마커를 비밀리에 심어두었다고, 개발자들이 이번 주에 밝혔다.
핵심 내용
- 개발자들에 따르면 Claude Code는 시스템 프롬프트 속 보이지 않는 유니코드 마커에 프록시와 시간대 정보를 인코딩했다
- 이 메커니즘은 프롬프트의 날짜 문구를 바꾸기 전에, 설정값을 147개 중국 도메인과 11개의 AI 연구소 관련 키워드 목록과 대조했다
- Anthropic은 개발자와 연구자들이 경고를 제기한 뒤, 다음 버전의 Claude Code에서 해당 코드를 제거하겠다고 밝혔다
숨겨진 프롬프트 마커
한 개발자가 비활성화된 원격 제어 기능을 복원하기 위해 Claude Code 2.1.196 버전을 리버스 엔지니어링하던 중, 4월부터 조용히 포함돼 있던 난독화 코드를 발견했다.
이 발견 내용은 6월 30일 Reddit에 한 닉네임으로 올라왔고, 이후 GitHub에 게시된 기술 분석 글에서 확인되었다.
분석가들은 서로 다른 세 개의 Claude Code 릴리스를 조사한 결과, 수개월간 업데이트가 이어졌음에도 어떤 릴리즈 노트에서도 언급되지 않은 채 동일한 방식으로 작동해 왔다는 점을 밝혀냈다. 이 코드는 사용자가 Anthropic의 서버 대신 커스텀 서버 주소를 지정했을 때만 활성화된다. 한 번 트리거되면, 도구는 시스템 시간대를 읽고 그것이 중국 본토와 연관된 두 도시 가운데 하나와 일치하는지 확인한다.
이후 프록시 주소는 평문 검색에 걸리지 않도록 난독화된 147개 도메인으로 이루어진 숨겨진 목록과 대조되며, 여기에는 Baidu, Alibaba, Ant Group, ByteDance와 더불어 중국 AI 연구소와 연관된 11개 키워드가 포함돼 있다. 검사 결과는 겉보기에는 평범한 문장인 "Today's date is..." 안에 흡수되는데, 중국 시간대인 경우에는 하이픈이 슬래시로 바뀌고, 일반 아포스트로피가 거의 구분이 안 되는 세 가지 문자 중 하나로 교체된다.
함께 읽기: 비트마인, 4,300만 달러 이더리움 베팅으로 하락장 역주행…전략 논란
개발자 신뢰 후폭풍
메커니즘이 공개되자, 개발자들은 소스 코드와 셸 명령에 접근할 수 있는 도구는 단순 채팅 창보다 훨씬 높은 수준의 투명성을 제공해야 한다며 강한 우려를 표했다. 프로젝트 코드 저장소에 제출된 버그 리포트는 이를 은밀한 핑거프린팅이라고 규정하고, 사용자 몰래 숨겨진 다른 신호가 있는지 질문했다. 댓글 작성자들은 호스트 이름이나 시스템 시계를 바꾸는 것만으로도 이 검사를 손쉽게 피할 수 있다고 지적했다.
이는 곧, 이 기능이 애초 겨냥했던 고급 공격자가 아니라 합법적인 기업 프록시를 사용하는 평범한 개발자들을 주로 태깅한다는 뜻이기도 하다. Anthropic은 앞서 올해 초, DeepSeek, Moonshot AI, MiniMax를 포함한 중국 연구소들이 2만4천 개 이상의 사기성 계정과 1,600만 건이 넘는 교환을 이용해 Claude의 추론 및 코딩 행동을 베끼려 했다고 비판한 바 있다.
한 Anthropic 엔지니어는 소셜 미디어에서 해당 코드를 인정하고, 다음날 릴리스에서 제거될 예정이라고 밝혔지만 회사 차원의 공식 성명은 아직 나오지 않았다. 이번 사건은 올해 들어 Claude Code를 둘러싼 일련의 보안 우려에 또 하나의 사례를 보태게 됐다.
Microsoft 연구진은 6월에 GitHub 통합 기능에서 프롬프트 인젝션 취약점을 공개했으며, Check Point는 2월에 세 가지 별도의 취약점을 지적했다. 여기에 Anthropic의 자체 소스 코드가 4월에 잠시 유출되기도 했다.





